Skip to content
EVTX parser

Notizen zum Ereignisprotokoll

.evtx-Logs vom laufenden Windows-System holen (4 Methoden)
Vier Wege, .evtx von einem laufenden Windows-Host zu ziehen — wevtutil, FTK Imager, KAPE, rohes NTFS — mit den jeweiligen Chain-of-Custody-Trade-offs und den Befehlen, die du wirklich brauchst.
Event-ID 4625 erklärt: Brute Force, Spray und Enumeration erkennen
4625 ist der Fehlanmeldungs-Datensatz. Richtig gelesen erkennst du Password Sprays, Credential Stuffing und Kerberos-Missbrauch, bevor sie Erfolg haben.
Event-ID 1102 erklärt: Sicherheits-Audit-Log gelöscht (und was übrig bleibt)
1102 ist das eine Event, das man nicht unterdrücken kann, ohne mehr Beweise zu hinterlassen. Hier steht, was es dir sagt und was den Clear überlebt.
EVTX-Dateiformat erklärt: Chunks, Templates und BinXML-Interna
Wie eine .evtx-Datei auf Byte-Ebene aufgebaut ist — File-Header, 64-KB-Chunks, die Template-Tabelle und der BinXML-Datensatzstream, der darauf verweist.
PowerShell-Event-ID 4104 erklärt: Scriptblock-Logging für DFIR
Scriptblock-Logging ist Windows' nützlichste kostenfreie defensive Kontrolle. Sie protokolliert den vollen Script-Body — auch obfuskierte oder in-memory — unter Event 4104.
Event-ID 7045 erklärt: Dienstinstallation als Persistenzsignal
Die Erstellung von Diensten ist eine der lautesten Persistenztechniken. Event 7045 erfasst jede Installation — lies diese drei Felder und du fängst das meiste davon.
Sysmon-Event-ID 1 erklärt: Prozesserstellung für die DFIR-Triage
Sysmons Event 1 ist der reichhaltigste Prozesserstellungs-Datensatz, den Windows produzieren kann. Hier steht, was drin ist und wie man ihn schnell triagiert.
Windows-Event-ID 4624: jede Anmeldung entschlüsselt
Was ein 4624-Datensatz wirklich enthält, warum das Feld LogonType wichtiger ist als das Ereignis selbst, und wie man sie skaliert liest.
Das binäre Windows-Ereignisprotokollformat lesen
Eine kurze Einführung in den Aufbau von .evtx-Dateien, den Inhalt jedes Ereignisses und warum das Binärformat für die Forensik wichtig ist.